Понимание Microsoft Identity and Access Management: все, что вам нужно знать

Опубликовано: 2019-11-14

Знаете ли вы, что только в 2018 году киберпреступники потеряли 445 миллионов долларов?

Согласно отчету Verizon Data Breach Investigations за 2019 год, 80% хакерских атак были связаны со скомпрометированными или слабыми учетными данными. В целом 29% всех взломов были связаны с кражей учетных данных.

Решения для управления идентификацией и доступом никогда не были так важны для бизнеса. Но большинство компаний понятия не имеют, с чего начать. Мы создали эту статью, чтобы дать вам отправную точку и подробнее рассказать о решениях Microsoft Identity and Access Management.

Что делают службы IAM?

Ваши сотрудники представляют собой самую большую угрозу вашей безопасности. Если они небрежно относятся к безопасности своих паролей или используют слабые пароли, вы можете также разослать уведомление со словами: «Взломайте меня». Управлять доступом просто, если вы управляете небольшим бизнесом с несколькими сотрудниками. Чем больше у вас сотрудников, тем сложнее становится управлять. Вот где в игру вступают службы IAM.

Управление доступом сотрудников

Они позволяют более эффективно управлять доступом сотрудников к вашим системам. Они предлагают альтернативные, более безопасные варианты доступа. Microsoft Azure Active Directory, например, предлагает вам единую точку входа в сочетании с системой многофакторной авторизации.

Таким образом, вместо того, чтобы просто вводить свое имя пользователя и пароль, у вас будет несколько разных шагов аутентификации. Например, вам может потребоваться ввести код аутентификации, отправленный на ваш телефон. Или, если вам нужна еще большая безопасность, можно использовать биометрическую идентификацию.

С системами IAM вы можете сразу увидеть, к каким системам может получить доступ сотрудник. Вы можете настроить их доступ только к тем системам, которые жизненно важны для их работы. Вы также можете запрограммировать систему на автоматический сброс паролей через заданный интервал времени.

Улучшите путь клиента

Эти системы могут облегчить взаимодействие с клиентом, сделав процесс входа более простым и безопасным.

Управление доступом для внешних подрядчиков

Если вам нужно работать с фрилансерами, эти системы позволяют быстро и легко настроить профили пользователей. Вы можете назначать ограниченные привилегии пользователей только тем системам, к которым им необходим доступ.

Вы можете, например, предоставить им доступ только к одному адресу электронной почты компании или базовый доступ к вашей базе данных. Вы также можете запрограммировать дату окончания контракта, чтобы гарантировать, что доступ будет отменен автоматически.

Повышение производительности

Они также могут быть полезны для повышения производительности, поскольку позволяют сотрудникам безопасно работать с разных устройств. Многие из этих сервисов основаны на облаке, поэтому они не зависят от устройства. Другими словами, вам не нужно загружать их на само устройство.

Ограничив доступ сотрудников к вашим системам, вы сможете лучше справляться с перегрузкой в ​​этих системах. Это, в свою очередь, повышает производительность.

Поддержка соответствия

Поскольку законы о конфиденциальности становятся все более строгими, компании испытывают все большие трудности с защитой информации о клиентах. Системы IAM могут помочь в этом.

Позвольте ИТ-персоналу сосредоточиться на более важных задачах

Наконец, эти системы позволяют автоматизировать основные задачи безопасности. Это освобождает ваш ИТ-персонал для работы над более важными вещами. Это также снижает вероятность человеческой ошибки.

Как Microsoft вписывается?

Ассортимент Microsoft Azure предлагает набор надежных инструментов, обеспечивающих необходимый уровень безопасности. Они также сотрудничают с несколькими сторонними поставщиками для дальнейшего усиления защиты. Так что, если у Microsoft нет технологии, чтобы предложить, например, программное обеспечение для распознавания лиц, они будут сотрудничать с компанией, которая это делает.

Управление привилегированной идентификацией Azure

Этот продукт обеспечивает активацию на основе утверждения и времени, чтобы помочь предотвратить злоупотребление ресурсами и несанкционированный доступ.

Особенности включают в себя:

  • Своевременный привилегированный доступ : эта функция позволяет блокировать входящий трафик к вашей виртуальной машине Azure. Это эффективно защищает вас от атак, уменьшая воздействие. Когда система не используется, она заблокирована.
  • Привилегии доступа с ограничением по времени . Скажем, например, что вы временно нанимаете кого-то. Введите даты начала и окончания действия договора. Система автоматически отключит доступ в день окончания.
  • Контролируйте, кто находится под контролем : система требует создания, а затем активации профилей пользователей. Активация специальных привилегий возможна только с разрешения системного администратора. Вы можете, если предпочитаете следовать модели мейкера/проверщика здесь. ИТ-специалист 1 создает профили, а затем запускает их для утверждения активации.
  • Используйте многофакторную аутентификацию для активации пользователей : защита распространяется не только на ваших сотрудников. Вы также можете включить двухфакторную аутентификацию для пользователей, регистрирующихся на вашем сайте. Например, если они создают профиль, им нужно будет подтвердить адрес электронной почты, чтобы активировать его.
  • Уведомление, когда привилегированная роль становится активной : это еще одна форма аутентификации. Если кто-то входит в систему или запрашивает разрешение на это, отправляется уведомление.
  • Обзор доступа : Изменились ли роли сотрудников? Им по-прежнему нужен такой же доступ, как и раньше? Microsoft Identity Access Management упрощает просмотр ролей и изменение доступа по мере необходимости.
  • Полная история аудита : это полезно, если вы проходите аудит. Это обеспечивает подтверждение дат активации, дат изменения данных и т. д. Это может стать важным, если ваша компания сталкивается с обвинениями в соответствии с законами о конфиденциальности. Это также значительно упрощает проведение внутренних аудитов.

Кому разрешено делать что?

Система назначает различные привилегии тем, кто отвечает за ее управление. Вот как это работает.

  • Администратор безопасности

Первому зарегистрированному здесь пользователю назначаются роли Привилегированного администратора и Администратора безопасности.

  • Привилегированные администраторы

Это единственные администраторы, которые могут назначать роли другим администраторам. Вы также можете предоставить другим администраторам доступ к Azure AD. Пользователи со следующими ролями могут просматривать задания, но не изменять их. К этим людям относятся администраторы безопасности, глобальные администраторы, читатели безопасности и глобальные читатели.

  • Администратор подписки

Люди в этих ролях могут управлять назначениями других администраторов. Они могут изменять и прекращать задания. Другими ролями, которым разрешено это делать, являются администраторы доступа пользователей и владельцы ресурсов.

Следует отметить, что людям со следующими ролями необходимо предоставить разрешение на просмотр назначений: администраторы безопасности, администраторы привилегированных ролей и читатели безопасности.

Терминология, которую вам нужно знать

Терминология, используемая в Microsoft Privileged Identity Management, может ввести в заблуждение непосвященных. Вот разбивка основной терминологии.

  • Имеющий право

С этим назначением пользователям необходимо выполнить определенное действие или действия, чтобы активировать свою роль. Отличие этой роли от постоянной в том, что не всем нужен постоянный доступ. Пользователь может активировать роль, когда ему нужен доступ.

  • Активный

Это назначения ролей, которые по умолчанию назначаются системой. Их не нужно активировать. Например, системные администраторы могут создавать задания для других администраторов.

  • Активировать

Это действие или действия, которые люди должны предпринять, чтобы доказать, что они уполномочены использовать систему. Ввод имени пользователя и пароля является примером этого. Здесь можно использовать множество различных методов аутентификации.

  • Назначенный

Это означает, что пользователю были предоставлены определенные привилегии в системе.

  • Активировано

Это пользователь, который может использовать систему, активировать свою роль и в настоящее время использует ее. Система предложит пользователю повторно ввести свои учетные данные после установленного периода бездействия. Примером может служить интернет-банкинг, когда вы выходите из системы после десяти минут бездействия.

  • Постоянный

Это назначение, которое позволяет пользователю активировать свою роль в любое время. Им придется выполнять определенные действия, чтобы получить доступ к ролям. Скажем, например, сотрудник фиксирует платеж, который должен быть произведен. Им может потребоваться ввести случайно назначенный код для подтверждения транзакции.

  • Постоянно активный

Это назначение позволяет пользователю использовать роль без активации. Это роли, которые пользователь может выполнять без дальнейших действий.

  • Срок действия

Это временная роль. Здесь вам нужно будет указать даты начала и окончания. Это можно сделать для фрилансеров. Его также можно использовать, чтобы заставить сотрудников регулярно обновлять свои пароли.

Управление доступом, особенно в средних и крупных организациях, может быть сложной задачей. Однако благодаря мощному пакету Azure от Microsoft это становится намного проще. Службы IAM добавляют дополнительный уровень безопасности для защиты от нарушений, связанных с внутренним доступом и компрометацией.

***

Крис Усатенко

Крис Усатенко — компьютерщик, писатель и создатель контента. Он интересуется всеми аспектами ИТ-индустрии. Фрилансер по натуре, он готов получать опыт и знания со всего мира и внедрять их в свою жизнь.